Эксперты "Лаборатории Касперского" разгадали очередную загадку троянца Duqu. 21.by

Эксперты "Лаборатории Касперского" разгадали очередную загадку троянца Duqu

20.03.2012 13:24 — Новости Hi-Tech |  
Размер текста:
A
A
A

Источник материала:

Некоторое время назад "Лаборатория Касперского" обратилась к сообществу программистов за помощью в решении одной из наиболее сложных задач, связанных с исследовании троянца Duqu: определении неизвестного фрагмента кода, расположенного внутри его библиотеки с основным кодом (Payload DLL).

Обозначенный антивирусными экспертами как Фреймворк Duqu, данный фрагмент является частью Payload DLL и отвечает за взаимодействие с командным сервером (C&C) после заражения компьютера-жертвы.

Проанализировав большое количество сообщений, полученных от программистов со всего мира, эксперты пришли к выводу, что Фреймворк Duqu состоит из исходного кода, написанного на языке C, скомпилированного и оптимизированного с помощью Microsoft Visual Studio 2008. Кроме того, при разработке использовалось объектно-ориентированная надстройка С (ОО С). Подобный стиль программирования присущ серьезным "гражданским" программным проектам и не встречается в современном вредоносном ПО.

Точный ответ на вопрос, почему для Фреймворка Duqu использовали OO C, а не С++ пока не найден. Однако, по мнению экспертов "Лаборатории Касперского" наиболее вероятными причинами могут являться следующие:

- Больший контроль над кодом. Когда появился язык С++, многие программисты "старой школы" отказались от его использования из-за неявного управления памятью и сложных конструкций, вызывавших неявное исполнение кода. ОО С обеспечивает наличие более стабильного фреймворка с меньшей вероятностью непредсказуемого поведения.

- Высокая совместимость. Многие годы не существовало общего для всех компиляторов стандарта С++, из-за чего могли возникать проблемы совместимости с компиляторами различных производителей. Использование языка С позволяет писать код под любую существующую платформу и не имеет ограничений С++.

"Проведенное нами исследование, важную роль в котором сыграли наши коллеги программисты, дает все основания полагать, что код был написан командой опытных разработчиков "старой школы". Их целью было создание легко модифицируемой и портируемой платформы для проведения кибератак. Этот код мог быть использован ранее, а затем модифицирован и применен в троянец Duqu, — уверен Игорь Суменков, антивирусный эксперт "Лаборатории Касперского". — Подобная методика обычно используется высококлассными профессиональными разработчиками и почти никогда не встречается в обычных вредоносных программах".

"Лаборатория Касперского" благодарит всех, кто внес свой вклад в решение задачи по определению неизвестного кода. Подробный анализ Фреймворка Duqu доступен в блоге Игоря Суменкова на сайте www.securelist.com/ru/blog
 
 
Чтобы разместить новость на сайте или в блоге скопируйте код:
На вашем ресурсе это будет выглядеть так
Некоторое время назад "Лаборатория Касперского" обратилась к сообществу программистов за помощью в решении одной из наиболее сложных задач, связанных с...
 
 
 

РЕКЛАМА

Архив (Новости Hi-Tech)

РЕКЛАМА


Яндекс.Метрика